メール認証：SPF、DKIM、DMARCを解説

定義

メール認証は、メールメッセージの送信者IDを検証するプロトコルのセットです。3つの主要な認証方法はSPF、DKIM、DMARCであり、これらは連携してメールが実際にあなたのドメインから送信され、転送中に改ざんされていないことを証明します。

一般的な使用例

メールスプーフィングとフィッシング攻撃からドメインを保護する

マーケティングメールとトランザクションメールの受信箱配置率を向上させる

GmailやYahooなどの主要メールプロバイダーの要件を満たす

メールサービスプロバイダーとの送信者レピュテーションを構築する

DMARCレポートを通じてドメインの不正使用を可視化する

安全な通信を必要とする業界の規制コンプライアンスをサポートする

重要な理由

メール認証は到達率とブランド保護に直接影響します。適切な認証がないと、GmailやOutlookなどのメールプロバイダーはメッセージをスパムとしてマークするか、完全に拒否する可能性が高くなります。主要なメールプロバイダーは現在、大量送信者に認証を要求しています - GoogleとYahooは2024年2月から、1日5,000通以上を送信する送信者にSPF、DKIM、DMARCを義務付けました。認証はまた、悪意のある者があなたのドメインをスプーフィングしてブランドレピュテーションを損なうフィッシングメールを送信することを防ぎます。

仕組み

メール認証はDNSレコードを使用して送信者IDを検証します。SPF（Sender Policy Framework）は、どのメールサーバーがあなたのドメインに代わってメールを送信できるかを指定します。DKIM（DomainKeys Identified Mail）は、受信サーバーがDNSの公開鍵に対して検証できる暗号署名を各メールに追加します。DMARC（Domain-based Message Authentication, Reporting and Conformance）はSPFとDKIMを結びつけ、認証が失敗したときに何をすべきかを受信サーバーに指示します - メッセージを検疫する、拒否する、または通過させる。3つのプロトコルすべてが揃うと、受信サーバーはあなたのメールが正当であることを信頼できます。

ベストプラクティス

3つの認証プロトコル（SPF、DKIM、DMARC）をすべて一緒に実装する

複数のSPFレコードを避ける - すべての承認された送信者を1つのレコードに統合する

強制する前に監視するためにp=noneのDMARCポリシーから始める

見逃した可能性のある正当な送信者を特定するためにDMARCレポートを毎週確認する

メール送信サービスを追加または削除するたびにDNSレコードを更新する

強力な暗号セキュリティを確保するためにDKIMに2048ビットキーを使用する

キャンペーン送信前にMXToolboxやEmailVerifyなどのツールで認証をテストする

時間をかけて徐々に厳格なDMARCポリシー（検疫、その後拒否）に移行する

よくある質問

3つの認証方法（SPF、DKIM、DMARC）すべてが必要ですか？

はい、3つすべてを実装することで最も強力な保護が提供されます。SPFとDKIMはメール認証の異なる側面を検証し、DMARCはポリシー強制とレポートを提供します。Gmailなどの主要メールプロバイダーは現在、大量送信者に3つすべてを要求しています。

メール認証が失敗するとどうなりますか？

認証が失敗すると、DMARCポリシーと受信サーバーの設定に応じて、受信サーバーはメールを拒否するか、スパムに送信するか、警告付きで受け入れる可能性があります。認証の失敗は時間とともに送信者レピュテーションを損なうことになります。

複数のSPFレコードエラーを修正するにはどうすればよいですか？

DNSは1ドメインにつき1つのSPFレコードのみ許可します。メールを送信する複数のサービスがある場合は、includeステートメントを使用してすべての承認された送信者を1つのSPFレコードに統合します。例：v=spf1 include:_spf.google.com include:sendgrid.net -all

認証の変更が有効になるまでどのくらいかかりますか？

DNS変更は通常24〜48時間以内に伝播しますが、多くのサーバーはより速く更新されます。変更時には低いTTL値を使用して、更新が迅速に伝播するようにします。大規模なキャンペーンを送信する前に常に認証をテストしてください。

メール認証

メールマーケティングと配信率をマスターするために必要なすべての用語を、分かりやすく解説します。

定義